Il ransomware Akira è emerso nel marzo 2023, affermandosi rapidamente come una minaccia significativa nel panorama della cybersecurity. Operando come un Ransomware-as-a-Service (RaaS), Akira ha preso di mira diverse industrie, concentrandosi principalmente su piccole e medie imprese (PMI), ma colpendo anche organizzazioni di rilievo come Nissan e la Stanford University. Nel gennaio 2024, Akira aveva già colpito oltre 250 organizzazioni, accumulando circa 42 milioni di dollari in riscatti.
Origini Akira e collegamenti con Conti
Le origini di Akira sembrano strettamente collegate al ransomware Conti, attivo tra dicembre 2019 e maggio 2022. Dopo una fuga di dati interni che ha compromesso le sue operazioni, Conti ha cessato l’attività. Tuttavia, analisi successive hanno evidenziato similitudini significative tra le tecniche e gli strumenti di Akira e quelli di Conti, suggerendo un riutilizzo di risorse, codice e competenze.
Estetica e branding
Il nome “Akira” sembra ispirarsi all’omonimo film d’animazione cyberpunk del 1988, noto per il suo stile iconico e il protagonista incontrollabile e dirompente. Il gruppo ha adottato un’estetica retrò per il proprio sito di leak, caratterizzato da un’interfaccia a riga di comando con schermo verde e supporta solo cinque comandi. Questa scelta estetica dell’interfaccia essenziale nasconde la sofisticatezza e l’aggressività del ransomware.
Motivazioni e obiettivi
L’obiettivo principale è il profitto economico. Questo gruppo di cyber criminali prende di mira PMI in diversi settori, con particolare attenzione a quello manifatturiero, infrastrutturale, finanziario e dell’istruzione, ma non esclude obiettivi di alto profilo. Il ransomware si è adattato rapidamente, evolvendosi in una versione compatibile con Linux, specificamente progettata per compromettere macchine virtuali VMware ESXi, sempre più diffuse negli ambienti aziendali.
Catena d’attacco di Akira
L’attacco tipico di Akira ha una sequenza ben definita:
- Accesso iniziale: sfruttando vulnerabilità come canali VPN aperti, dispositivi non protetti e l’assenza di autenticazione multi-fattore (MFA), Akira ottiene l’accesso iniziale alla rete della vittima.
- Escalation dei privilegi e movimento laterale: una volta all’interno, utilizza tecniche come il “pass-the-hash” per ottenere credenziali di alto livello e muoversi lateralmente nella rete, identificando e compromettendo ulteriori sistemi.
- Evasione delle difese: Akira impiega strumenti come PowerTool, KillAV e Terminator per disabilitare soluzioni di sicurezza e antivirus. Inoltre, utilizza comandi PowerShell per disattivare Microsoft Defender e cancellare le copie shadow dei volumi, ostacolando il ripristino dei dati.
- Esfiltrazione e cifratura dei dati: prima di cifrare i dati, Akira utilizza WinRAR per comprimerli e in seguito esfiltrarli, spesso attraverso metodi che imitano traffico legittimo. Successivamente, procede alla cifratura dei dispositivi raggiungibili, lasciando una nota di riscatto con le istruzioni per il contatto.
Focus sulla variante Linux/ESXi
Una delle evoluzioni più recenti di Akira è la sua variante per piattaforme Linux, destinata in particolare alle macchine virtuali VMware ESXi. Secondo Cyble e BleepingComputer, viene utilizzato un eseguibile in formato ELF a 64 bit, progettato per colpire file e directory specifici e crittografare anche unità di rete condivise.
Un campione recente del malware conteneva riferimenti diretti a ESXi, con il nome “Esxi_Build_Esxi6”, suggerendo un targeting esplicito delle infrastrutture virtuali.
Akira utilizza una combinazione di algoritmi crittografici simmetrici come AES, CAMELLIA, IDEA-CB e DES, uniti alla cifratura asimmetrica RSA, rendendo molto difficile il recupero dei dati senza la chiave privata.
Negoziazioni e richieste di riscatto
In caso di attacco riuscito, Akira lascia una nota di riscatto con istruzioni per contattare il gruppo. Le richieste possono includere servizi come assistenza per la decrittazione, prova di eliminazione dei dati rubati, un rapporto sulle vulnerabilità trovate e garanzie di non pubblicazione o vendita dei dati. Tuttavia, è noto che il gruppo fornisce informazioni generiche sulle vulnerabilità, spesso non utili per la vittima.
